Ich will nicht die includeSubDomains OptionWie kann ich IncludeSubDomains für HSTS in Schienen deaktivieren?
➔ curl -s --head https://example.com/ |grep Strict
Strict-Transport-Security: max-age=15552000; includeSubDomains
Diese Arbeiten nicht zu sein scheint:
config.force_ssl = true
config.ssl_options = { hsts: { subdomains: false } }
Was mache ich falsch?
Rails 5.0.1
Das Problem stellte sich heraus, dass Rails 5 eine initializer, new_framework_defaults.rb, die diese Zeile hat:
Rails.application.config.ssl_options = { hsts: { subdomains: true } }
Weil es in einem Initialisierer ist, ganz gleich, was Sie in der Umgebung Config setzen, diejenigen, Einstellungen haben keinen Effekt. Ich habe ein Problem hierüber geöffnet: https://github.com/rails/rails/issues/27638
ich sehr die Verwendung würde empfehlen secureheaders gem, so dass Sie eine bessere Kontrolle über diese Header (und andere ähnliche) erhalten.